币安研究院:检视Augur系统中的“作弊”行为
【摘要】
设计缺陷困扰Augur预测市场
2019年四月一号
要点
预测市场似乎是区块链的最佳用例之一,因为它们理应为无需信任,也无需中心化的运营者。从理论上来说,基于区块链技术的预测平台可以实现透明化,同时不会受到潜在政府行动和审查的影响。
然而,虽然Augur是在区块链上运行的最受欢迎的预测平台,但其在目前的发展中面临以下几个问题:
基础的可用性功能缺陷
流动性和参与率较低
投票、结算和分叉机制较为复杂
过去也曾出现过市场存在固有设计缺陷从而导致结果认定和结算出现争议的情形。对于活跃的Augur代币REP的持有者来说,这体现了“代码即法律”和“文字游戏”之间的治理之争。
有一个于4月1日到期的活跃交易市场正面临攻击,这是一种“设计缺陷攻击”,指的是恶意的市场创建者可为了利用某个带特定目的性的缺陷来创建一个市场。尽管如此,在受到攻击期间,该市场仍可以毫无风险地产生若干预测结果。
Augur是一个建立在以太坊上的去中心化预测市场平台,它允许任何个人创建关于任何事件结果的预测市场,例如足球赛结果、总统选举获胜方,甚至某加密资产的未来价格。
尽管该项目已经引起了某些疑问,有人开始思考部分预测市场合法性的问题,以及这种预测市场可能会刺激人们采取何种行动的问题1,但很多人对于这个平台本身尚缺乏全面的调查研究。
Augur平台概述
Augur是一个“不依赖于信任的去中心化预言机和预测市场平台”,于2014年成立,2015年开始首次代币发行(ICO)2。
图1. 预测市场流程简述(Augur白皮书)
Augur的预测市场分为以下4个步骤3:
创建预测市场:市场创建者需要REP才能创建市场话题,设置事件结束时间,并选择一位指定报告者(可以选择自己),由其决定事件结果。然而,社区(REP持有者)始终有机会对指定报告者提出异议和纠正(如果真的存在)。
交易:市场创建完毕后交易就会开始,计价货币为以太坊(ETH)。
报告:指定的报告者将确定每个市场的结果,或任何拥有REP代币的成员都可以参与结果认定和争论。
结算:代币持有者用REP购买事件实际观察结果的份额来押注,并从市场已实现结果的交易量中收取结算费用,该结算费用需与市场创建时设定费用所确定的份额成比例。
Existing issues
自2018年推出官方UI以来,Augur的初始版本就出现了一些技术问题。
1. 一般性问题
要想访问Augur,用户必须:
下载Augur app(而且使用(1) Infura端点或(2)下载整个以太坊区块链)
使用众多网页版UI中的某一个
由于智能合约、功能和特点比较复杂,Augur的学习曲线非常“陡峭”,通常导致新用户需要在以下两个网站中择一使用:基于IPFS版本的网站访问接口或是“augur.casino”网站。近期,已经在Augur平台上出现了Veil、Guesser等其他去中心化app试图优化链上产品面临的某些可用性问题。
这些网站提供了一些按数量、截止日期或开仓量进行分类/过滤的可视化机制。这可能导致某些市场通过操控订单簿获得比其他市场更高的曝光率。
去中心化的底层架构还导致不同界面上提供的警告、发布或其它一些功能存在差异。例如,Augur.casino对于同一个预测市场(如“2019年3月底以太坊价格”)有两套警告,一个在市场页面显示,一个在下订单之前显示。IPFS版本的网站尽管与其几乎完全一致,但却没有预警功能。
图1. 基于IPFS的版本(访问时间:2019年3月31日协调世界时上午10:00)
图2. "Augur.Casino"版提供警告(访问时间:2019年3月31日协调世界时上午10:00)
图3. "Augur.Casino"上显示的关于市场可能被认定为“无效”的警告内容(访问时间:2019年3月31日协调世界时上午10:00)
2. 技术问题
市场流动性
由于没人能够帮助他们打破整个预测市场体系的复杂性,用户通常更倾向于参与价差小、交易量大的市场,因为这两个特点表明其他用户认为该市场值得下注。然而,只需要支付几笔以太坊交易的gas费,市场操纵者就可以利用两个以太坊账户来进行对倒交易,从而制造虚假初始交易量的来吸引潜在交易者。由于大多数市场的参与率都非常低,反过来这导致用户大量涌入少数交易量可观的市场。
Incentive Problems
Currently, the validity bond, or the amount staked by the market creator that is seized if the market created is marked invalid,does not adjust with size of market, such that users can repeatedly create bogus markets at a fixed cost. Without trust in the validity of a market, it is difficult for users to participate on any given market, because of increased lockup times due to disputes, potential swings in value of all outcomes. Consequently, this may exacerbate any existing features that hamper market liquidity.
投票及可能的分叉
如果某个市场收到“异议”,市场的结算就会通过投票进行,有争议的结果将有机会从赞成该结果的网络参与者那里收到以REP计价的赌注。
点击此处可查看有争议市场的解决进度表。
预测准确的下注方将根据他们购买“YES”份额的资金比例收到“NO”的所有押注。对于有争议的结果,挑战者必须投注高于白皮书中公式确定的赌注金额,即整个争议总押注金额×2倍-该轮押注其他结果的赌注份额×3倍。
如果结果数量不断增加并超出这一阈值,而其中某一结果的赌注超过Augur总REP供应量的2.5%,这条链就会分叉,所有REP用户将可以把他们分叉前的REP代币迁移到对应其所押注结果的链上。在分叉期间整个Augur平台将停滞,既有市场亦将关闭。
为了鼓励用户快速做出决策,“所有在分叉开始后60天之内将REP迁移出去的代币持有人,将在他们迁移到的‘子宇宙’中收到5%的额外REP奖励”。除此之外,分叉状态将在满足以下条件时终止:
已持续60天
“创始宇宙”中全部REP的50%以上都已迁移到某个“子宇宙”中
这种分叉与比特币分叉出比特币现金(后续又分叉出ABC和SV)以及以太坊分叉出以太坊经典有些类似,从理论上都有一定的博弈性质,网络参与者必须判断哪一个网络的未来更加可行并且可以获得社区绝大多数的支持。
如果是PoW工作量证明机制,矿工必须判定哪一条链具有最大的实用价值,并在特定的区块高度,将算力直接向自己偏好的链倾斜。在Augur网络里,REP持有人则须决定哪一个结果以及该竞猜设定最有望吸引更多参与者在未来加入,使他们的治理费和实用价值得以保持或增长。用户如果选择了最不受欢迎的链,会失去其在获得多数票的链上持有的份额,相当于受到惩罚。
整个REP群体中的活跃分子正是通过分叉这个关键机制,来确定某个有重大争议的预测市场的结果。但是不活跃的代币持有群体是否会潜在影响各预测结果获得成功的可能性?
对于许多采用非工作量证明机制的加密货币,这些货币本身就有很大的权限可以确定给参与者发放的奖励,由于大量的Augur代币被搁置在Compound Finance加密资产抵押贷款平台和许多中心化交易所里,可以直接投票的代币数量可能低于维持任意Augur市场有效认定和结算所需的数量。
因此,由于许多代币都存储在用户无法控制或自己监管的钱包中,不活跃的代币持有者群体如果过大可能会给整个Augur生态系统带来潜在伤害。但例如交易所这样的大型代币持有者到底是否应该投票或是否能够投票,以及是否能够剥夺那些不能自己监管个人资产的用户的投票能力,这些还都尚不明确。
有争议的市场
如前文所述,有一个存在争议的预测市场刚刚到期,该市场预测的是2019年3月底以太坊的价格4。
该市场假定了三种结果:
1000美元或以上
100 – 1000美元
0-100美元
该市场于2019年4月1日凌晨1:59(UTC+8)到期,交易量超过3500个ETH。但该市场的描述中称将对“以太坊加密资产截至2019年3月31日结束时(UTC)的一般价格”进行测算。由于合约到期时间是UTC+8,所以其实早于UTC+0的3月31日结束的时间,这份合约可能最后会被标注“无效”。
这种攻击就被称之为“设计缺陷攻击”。
以下是当前在此预测市场上执行的攻击方法的流程推演:
创建一个包含多个结果的市场,其中至少有一个结果相当不切实际(比如说以太坊价格超过1000美元),还有一个结果看似非常容易实现(以太坊交易价格在100-1000美元之间)
S通过在几个钱包之间进行交易来模仿市场活跃度,进而提高交易量(虚买虚卖)。由于Augur大部分市场的交易量都比较低,这个特定市场就成为最活跃的市场,因此也是Augur平台上所有交易市场中最显眼的市场。
然后,攻击者会故意针对“以太坊价格会在100-1000美元之间” 5这个预测结果发出限价卖单,并巧妙地设置该单的报价,使其比无效结果可获得的奖励要高,但又比毫无戒备的参与者可能会认为的划算价格要低得多。因此,新人会成交订单,然后被套牢在可能无效的市场上。
一旦市场到期,攻击者希望它最终会被确定为“无效”,这样一来,市场上的所有份额都会为对应每个结果的份额返还等额的以太坊(“如果市场存在N种可能的结果(不包括无效结果),创建一组涵盖市场所有可能性的完整份额集的成本是C枚以太坊,那么交易者按市场合约结算的每个份额均能收到C/N枚以太坊”6。
在这种情况下,对于存在三种预测结果的市场,如果市场确实被标注为无效,每一个“是”份额都按1/3的价值计价,而如果普通用户想要购买有可能是正确的结果而看似被低估的份额,最终购买的份额很至多会被削减到只剩1/3的价值。(比如某人以0.9ETH 买入以太坊最终价格落在100~1000美元区间的结果,希望获得1ETH的回报,这是一个看上去似乎没有风险的赌注,最后可以净盈利0.1ETH,但如果市场最后因设计故意存在漏洞,导致被认定为无效,所有三种结果的回报都是0.333ETH,本该正确的押注最后会亏损)
当前案例的几种处理结果
结果1——市场被确定为“无效”
如果市场如白皮书所述被确定为“无效”,那么三种结果中任何一种的份额都会变成总份额的1/3,如此一来,所有“是”的份额价格都相同(1份额是1ETH的话,如今价格将变成0.333ETH)。根据Predictions.global, 投资于看似正确的结果“100-1000美元区间”的金额占到该市场的绝大多数,基于该预测市场存续期间的以太坊市场价格而买入该结果份额的投资者平均投入的资金是市场操纵者的两倍,因此所有结果价格相同会导致普通参与者亏损50%,而市场操纵者则可获得100%以上的收益率。
结果2——市场被提出异议,但未被确定为“无效”
截至3月31日,没有任何一位理性下注人预计以太坊价格会超过1000美元,所以普通参与者会只想将这一个结果的份额售出,该份额的买方只会是那些希望市场被确定为“无效”的市场参与者。
然而,如果在结算日(UTC+8时间2019年4月1日凌晨1:59)以太坊价格在100美元至1000美元之间,并且在信息详情(“UTC时间2019年3月31日结束时的以太坊一般价格”)中所列价格区间,而且在各大主要交易所官方及默认时间期间均保持在100美元至1000美元,则务实的REP持有人会决定选择这一结果作为符合预期及正确的结果。
结果3——市场未被提出异议
市场也有可能被认为是有效的,而且没有收到异议,尽管这种可能性非常低。在这种情况下,市场操纵者也可能通过针对市场的有效性传播负面观念,而使用其他地址以超高折扣买入真实的代币。借此,他将可以确定市场的走向,不去煽动决策,从而满足自己的欲望,以更快的速度接收资金。尽管如此,与市场操纵者共同推动“无效”结果的其他市场参与者还是有机会对该市场提出异议,从而使合谋面临分崩离析的风险。
曾发生过的“设计缺陷攻击”实例7
2018年,Augur平台仅围绕“2018年美国中期选举后哪一个政党会获得众议院控制权?8 ”这一项市场合约就达到了超过200万美元的总交易量。
有位用户决定创建一个市场,并在设计市场时故意:
采用笼统含糊的词汇来描述确切的问题
将结算日期确定为“选举结果出来之后、实际结果发布之前”。
由于选举结果是公开的,许多“仲裁参与者”决定下注“民主党将控制众议院”这一结果9,因为民主党赢得了选举。但是,市场结算日期是12月12日,而美国众议院权力交接生效日期为2019年12月13日。
恶意用户试图通过卖出“民主党将控制众议院”的可能性,然后靠收取对“共和党将控制众议院”结果的争议结算来产生高额回报。
不过好在并未发生“无效市场”裁决,因为参与者最后选择“民主党将控制众议院”为最终结果。这表明“实用主义”和“代码即法律”之争仍然非常鲜明且难以界定,让链上治理显得更加值得玩味。
潜在改进
值得称赞的是,Augur团队已经识别了上述几点考量因素,并确定了需要针对平台第二版采取的其他潜在改进措施。
但Augur在近6个月前就发布了改进措施10,官方更新却迟迟未上线,而用户在此期间却可能受到上述问题的影响。
1. 基于价格的退款机制
据Augur团队称,“不幸的是,由于技术限制,无效市场不能通过‘反向’交易来让交易者退回等额资金”。但是,特定市场结果的份额似乎看上去是可替代的,因为用来购买结果“份额”(钱包中持有的ERC-20代币)的交易通常会伴随相应的“现金”交易,或者钱包会提供一定金额的以太坊作为购买结果份额的托管资金。
因此,尽管繁琐,但通过智能合约来跟踪支付链上ERC20代币的全部款项是可行的。如果用户能够提供其全部ERC-20代币“份额”,他们就能够证明自己是争议份额的合法所有人。
从本质上来说,这种解决方案提供了“原始买方担保”的可能性。如果市场被确定为无效,而用户仍然持有结束时的全部头寸,而不是按规定获得所有份额1/N的奖励,他们事实上可以“拿回原始购买的凭证”,证明他们确实向智能合约支付了相应的以太坊金额,以接收他们希望返还市场的份额,减去报告费。
市场无效的情况下应该全额返还所有资金。Augur团队称他们无法退款是因为代币都是ERC代币,也就是说Augur团队对这些代币没有控制权。然而,争议阶段的封锁期对用户来说已经是严重的惩罚,如果引入“份额”功能后,对那些直接持以太坊进入市场的参与者(没有购买凭证)则会不公平。
2. 在定义市场时援引明确的参考资料
在当前的Augur平台上,诸如“常识”等模糊的来源(在市场描述中)经常被使用,导致参与者理解出现混乱。此外,涉及时区、货币、面额和单位的模糊术语也可能影响解释真实结果的能力。如果UI的设计可以确定默认的时间、货币和面值,意外创建无效市场的可能性就会低得多。
A此外,有些市场是很久之前创建的,当时作为新手的创建者并不完全理解市场设置的规则,也没有能力预见在市场创建后会出现哪些判定市场无效的情形。就到期的问题而言,市场创建者可能会被迫将结算时间确定为事件结束后的某个特定时期,否则一开始就无法启动市场。
3. 在任何新市场形成之前确定持有重要赌注的市场验证者
还有一种可能的解决方案,那就是创建一种新的参与者类别:市场验证者。
验证者以REP代币下注,可以通过检查市场的初始条件来验证新市场的完善性,从而预防市场最终成为“无效”市场。
就当前有争议的市场来说,指定报告者 (ETH 地址 0xc64e96319366da7d00ef4bc14b42e8b1f3a31f52) 在本文发布之时下注的“报告者份额”仅为0.593REP(或略超过5美元)。 这表明市场操纵的可能性很高,因为报告者持有的有效债券和赌注很低。事实上,这位用户还在Augur上创建了一个名为" 的市场。
相反,在正式启动市场之前,让REP社区中更多的人员参与进来,这样可能可以提供一定程度的质量控制,从而鼓励用户继续留在该生态系统。
在基于Augur协议创建的去中心化应用程序Veil中,用户能够创建用户指定的市场, 可以在该市场上下订单,但该市场在获得进一步批准之前不会上线。尽管这可能会导致一定程度的集权,但市场有效性的可能性得到提升,这可能会激发网络参与者更大的信心。Augur市场上的“信心”问题已经变得非常重要,以至于有人创建了metamarkets来讨论其他市场的有效性。
Augur团队已承认这些技术问题早在6个月前就已被察觉,但却几乎未采取任何措施来保护用户。Augur团队声称他们当前主要的关注点是协议层面的问题,并希望通过建立在协议基础之上的去中心化应用程序来解决某些用户体验方面的不足,但是正如在以太坊分叉中所看到的那样,由于去中心化应用程序层面也可能会出现问题,所以有时基础协议也需要做出响应。Augur团队和社区已经开始分享更多的资料和指南,以加强潜在用户的教育,提升他们的意识。
关于治理型代币的说明
像Augur这样的治理型代币可能会产生一些不正当的激励效果,在这种情况下,如果在代币最有价值(为了解决争议)的时刻市场出现任何争议或冲突,持相反观点的利益相关者会竞争获得足够的REP代币作为赌注来支持他们想要的结果。因此,这可能会诱使市场操纵者创造相反的意见,以便让投票过程中的价格飙升。从根本上来说,对于用来治理充满冲突的平台的代币来说,如果整体活跃度和参与者的信任度下降,其实用价值就会下降,这表明项目的长期价值可能会受到寻求影响REP价格的短期投机者的不利影响。
“逆向网络效应”下——所有被无效市场损害的参与者会:
亏损并退出市场,警告朋友不要参与
利用在该市场上新学到的知识来欺骗下一位用户
尽管Augur是区块链技术的最佳用例,但如果某些上述问题后续不能得到恰当地处理,Augur生态系统可能会只剩下一些恶意行为者和旁观者,因为普通参与者会不断地亏损然后离开。
请注意:名为 " 的Augur市场 是被进行当下攻击的同一个人所创建的 (0xc64e96319366da7d00ef4bc14b42e8b1f3a31f52),出现了与之前提到的以太坊三月价格预测市场中相似的问题。如Augur团队不能立即实施有效措施,类似的问题在将来也会出现。虽然有些预测市场并非被恶意创建的,如 “In Tokyo, will a big earthquake occur by April 2019?”, 一些恶意的用户可以利用这些市场获利。希望读者注意并提醒其他用户小心此类骗局。
企业信息
